Código fuente de Conti Ransomware filtrado por investigador ucraniano

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un investigador ucraniano continúa dando golpes devastadores a la operación del ransomware Conti, filtrando más conversaciones internas, así como el código fuente de su ransomware, paneles administrativos y más.

Ha sido una semana bastante dañina para Conti después de que se pusieron del lado de Rusia en la invasión de Ucrania y molestaron a los afiliados ucranianos y a un investigador que ha estado husmeando en secreto en su operación.

El domingo, un investigador ucraniano que usó el identificador de Twitter @ContiLeaks filtró 393 archivos JSON que contenían más de 60,000 mensajes internos tomados del servidor de chat privado XMPP de la banda de ransomware Conti y Ryuk.

Estas conversaciones fueron del 21 de enero de 2021 al 27 de febrero de 2022 y proporcionaron un tesoro de información sobre la organización del delito cibernético, como las direcciones de bitcoin, cómo se organiza la pandilla como negocio, cómo evadir a las fuerzas del orden, cómo realizan sus ataques, y mucho más.

El lunes, el investigador siguió filtrando más datos dañinos de Conti, incluidos 148 archivos JSON adicionales que contenían 107,000 mensajes internos desde junio de 2020, que es aproximadamente cuando se lanzó por primera vez la operación de ransomware Conti.

ContiLeaks comenzó a publicar más datos durante la noche, incluido el código fuente del panel administrativo de la banda, la API de BazarBackdoor, capturas de pantalla de los servidores de almacenamiento y más.

Sin embargo, una parte de la filtración que entusiasmó a la gente fue un archivo protegido con contraseña que contenía el código fuente del cifrador, descifrador y constructor del ransomware Conti.

Si bien el filtrador no compartió la contraseña públicamente, otro investigador pronto la descifró, lo que permitió a todos acceder al código fuente de los archivos de malware del ransomware Conti.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si realiza ingeniería inversa, es posible que el código fuente no proporcione información adicional. Sin embargo, el código fuente proporciona una gran comprensión de cómo funciona el malware para aquellos que pueden programar en C, pero no necesariamente aplicar ingeniería inversa.

Si bien esto es bueno para la investigación de seguridad, la disponibilidad pública de este código tiene sus inconvenientes.

Como vimos cuando se lanzaron HiddenTear (por "razones educativas") y el código fuente del ransomware Babuk, los actores de amenazas copiaron readaptando rápidamente el código para iniciar sus propias operaciones.

Con un código tan estricto y limpio como la operación del ransomware Conti, deberíamos esperar que otros actores de amenazas intenten lanzar sus propias operaciones criminales utilizando el código fuente filtrado.

Sin embargo, lo que puede ser más útil son las API de BazarBackdoor y el código fuente del servidor de comando y control de TrickBot que se lanzó, ya que no hay forma de acceder a esa información sin tener acceso a la infraestructura del actor de amenazas.

En cuanto a Conti, tendremos que esperar y ver si esta "violación de datos" tiene un gran impacto en su funcionamiento.

Este ha sido un golpe significativo para la reputación del grupo que puede hacer que los afiliados se trasladen a otra operación de ransomware.

Pero, al igual que todas las empresas, y no se puede negar que Conti funciona como una empresa, las violaciones de datos ocurren todo el tiempo.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta